1.5
Server-Software, Middleware, Web

HAProxy

Server-Software, Middleware, Web

HAProxy gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht HAProxy kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

9
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
0.4%
Max. EPSS

Schwachstellen-Reports

9 Reports

Zeige 1 bis 9 von 9

  1. Roxy-WI – angreifbare HAProxy-section-save-Endpunkte

    CVE-2026-45558 Kritisch

    Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter sind die HAProxy-section-save-Endpunkte (POST /api/service/haproxy/<server_id>/section/) angreifbar; die Quellbeschreibung liegt nur gekürzt vor. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Roxy-WI die Konfiguration der verwalteten Server schreibt, betrifft eine Kompromittierung die gesamte dahinterliegende Proxy-/Webserver-Landschaft.

    CVSS: 9.9 EPSS: 0.44% Publiziert: Referenz: NVD
  2. Roxy-WI: WAF-Regel-Speicherung akzeptiert beliebige Konfigurationsdateinamen

    CVE-2026-45556 Kritisch

    Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In den Versionen bis einschliesslich 8.2.6.4 akzeptiert der Endpunkt POST /waf/<service>/<server_ip>/rule/<rule_id>/save einen frei wählbaren Konfigurationsdateinamen. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 8.2.6.4 aktualisieren.

    CVSS: 9.9 EPSS: 0.37% Publiziert: Referenz: NVD
  3. Roxy-WI: unvollständige JWT-Absicherung des Install-Blueprints

    CVE-2026-45552 Kritisch

    Roxy-WI, eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern, deklariert laut NVD in Version 8.2.6.4 und älter im Install-Blueprint lediglich bp.before_request → @jwt_required(), womit die Absicherung der Routen unvollständig bleibt. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Roxy-WI auf eine Version neuer als 8.2.6.4 aktualisieren; betroffen sind die damit verwalteten Webserver-Dienste.

    CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD
  4. Roxy-WI: Unzureichende Berechtigungsprüfung im Endpunkt PUT /smon/check

    CVE-2026-45550 Kritisch

    Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter prüft der Endpunkt PUT /smon/check (app/routes/smon/routes.py:117-138) die Berechtigungen nur unzureichend, sodass angemeldete Benutzer mit geringen Rechten Aktionen ausserhalb ihres Zuständigkeitsbereichs auslösen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD
  5. HAProxy: NULL-Pointer-Dereferenzierung in hpack_dht_insert()

    CVE-2026-55204 Hoch

    HAProxy bis einschliesslich Version 3.4.0 enthält in hpack_dht_insert() in src/hpack-tbl.c eine NULL-Pointer-Dereferenzierung, weil der Rückgabewert einer Funktion nicht geprüft wird; dies kann zu einem Denial of Service führen. Behoben wurde das Problem in Commit 9a6d1fe. Als betroffen ausgewiesen ist HAProxy. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.43% Publiziert: Referenz: NVD
  6. HAProxy: Integer-Overflow im drl-Feld der fcgi_conn-Struktur

    CVE-2026-55203 Hoch

    HAProxy bis Version 3.4.0 enthält eine Integer-Overflow-Schwachstelle im drl-Feld der fcgi_conn-Struktur, wodurch Puffer als neue FCGI-Record-Header fehlinterpretiert werden können. Der Fehler wurde in Commit 5985276 behoben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine HAProxy-Version mit dem genannten Fix aktualisieren.

    CVSS: 7.5 EPSS: 0.32% Publiziert: Referenz: NVD
  7. OpenShift Route / HAProxy – Unzureichende Prüfung von spec.path

    CVE-2026-1784 Hoch

    In der OpenShift Route-Ressource wurden unzureichende Prüfungen des spec.path-Feldes in Route-Dokumenten festgestellt. Dies kann über HAProxy zu unbeabsichtigtem Verhalten führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.01% Publiziert: Referenz: NVD
  8. CVE-2026-26080 – HAProxy

    CVE-2026-26080 Mittel

    Für diese Schwachstelle in HAProxy liegen keine näheren technischen Beschreibungen aus den Quellen vor. Der Schweregrad wird als Mittel eingestuft. Betroffen ist das Produkt HAProxy. Weitere Details sollten aus den Herstellerhinweisen verfolgt werden.

    Referenz: HAProxy
  9. CVE-2026-26081 – HAProxy

    CVE-2026-26081 Mittel

    Für diese Schwachstelle in HAProxy liegen derzeit keine detaillierten technischen Beschreibungen aus den Quellen vor. Der Schweregrad wird als Mittel eingestuft. Betroffenes Produkt: HAProxy. Hersteller-Hinweise sollten beobachtet und verfügbare Updates eingespielt werden.

    Referenz: HAProxy

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für HAProxy, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog